上次通过扫描抓包分析TTL的方式检测公司网络开放的端口,发现没有开放53端口(DNS),也就是在公司内部的主机只能用服务器自动分配的DNS,并且发现这是台内部服务器。今天发现bing上不去,检测后发现被DNS污染。想到如果去统计用户DNS解析记录,用这种方式监控内部用户上网行为岂不是更简单(只统计一级域名),更可靠,甚至更隐蔽更合法。对比一下传统的监控行为,用路由器抓包分析,公司的百兆宽带几乎是满载。so。。。为什么公司非要用自己的DNS呢,他是不是已经在这样做了。不过这确实是一个很聪明的办法。